按：随着《网络产品和服务安全审查办法（征求意见稿）》公开征求意见，《网络安全法》进入了2.0阶段——各项配套规定开始逐渐成型。除安全审查之外，数据境内存储及跨境流动的安全评估也是《网络安全法》中非常引人注目的新制度。本系列文章从平衡发展与安全的角度出发，提出了该制度的框架。此文为系列文章之四，点击此处阅读【系列文章之一、系列文章之二、系列文章之三】。

六、检视《网络安全法》的数据本地化存储规定

对照关于“数据化本地存储合理界限理论”，检视我国《网络安全法》第37条关于数据本地化存储的规范，会发现该条存在以下四个方面问题需要厘清：一是关键信息基础设施如何认定？范围多大？二是个人信息和重要数据的定义和范围多大？关键信息基础设施中是否还存在第三类数据？又或者个人信息和重要数据是不是关键信息基础设施上存储的所有数据的总和？三是“应当在境内存储。因业务需要，确需向境外提供的”应如何解读？是仅仅要求境内留存副本而已，还是“向境外提供”包括从境外发起的访问数据请求？四是如何进行安全评估？关于第四个问题，本文将在结论中一并论述。

（一）关键信息基础设施的范围

关键信息基础设施是一个相对新的概念，与关键基础设施不同，特指信息系统或控制系统。其可能单独成为设施，也可能是设施的一部分。其范围在《网络安全法（草案）》在一读、二读、三读中均有划定。考虑到《网络安全法》第39条的规定，中央网信办于2016年12月发布的《国家网络空间安全战略》和2016年7月开启的“全国范围关键信息基础设施网络安全检查工作”，对关键信息基础设施的界定具有十分重要的参考意义。具体规定参见下表。

综合研读，可将关键信息基础设施的范围总结如下：一是军政部门的网站、信息系统或控制系统；二是重要行业和领域的信息系统或工控系统，重要行业和领域包括能源、交通、水利、金融、供电、供水、供气、医疗卫生、社会保障等等；三是面向公众提供网络信息的服务的网站和平台。事实上，上述三个类别也不一定涵盖了全部的关键信息基础设施，只要是“一旦发生网络安全事故，可能影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境及人民生命财产造成严重损失”的系统，都将被认定为关键信息基础设施。

（二）个人信息和重要数据的范围

《网络安全法》在第76条规定了个人信息的定义：“指以电子或者其他方式记录的能够单独或者与其他信息结合能够识别自然人个人身份的各种信息，包括但不限于公民的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。

关于“重要数据”，《网络安全法（草案）》三读与最终稿之间出现个微妙的变化。三读使用“重要业务数据”。对此，可能存在两种理解：一是认为“业务数据”英文为business data，是组织机构与外界发生交互（transactions）的记录，不包括内部运营数据，例如组织机构人力方面的数据；二是认为“业务数据”同时包括组织机构“内部运作”和“外部交互”的数据。如果最终“重要业务数据”的定义采用前者，则关键信息基础设施里存在其他类别的数据无需本地存储；如果采用后者，则可认为关键信息基础设施里的所有数据都要本地存储。

在11月7日人大发布的最终稿中，删除了“业务”两字，体现了立法者最后时刻的考量。在笔者看来，重要数据的重要性，针对的是整体层面的利益保护，即保护国家安全、国计民生、公共利益。因此，只要运营者的数据不涉及整体层面利益，不属于“重要数据”的范畴。因此，从“重要业务数据”改为“重要数据”，说明立法摒弃我们熟悉的“个人数据、企业数据、国家数据”的分类方法，进而从数据所影响的价值着手。换句话说，不论是个人数据或是企业数据，只要有可能危及整体层面的利益，也会被认定为“重要数据”。

（三）“因业务需要，确需向境外提供的”的含义

从字面上看，第37条要求的是彻底的数据本地化存储，即要求数据的存储、处理、访问都必须在境内进行。此处“提供”应当包含来自境外的访问，有两方面证据。首先，如前文所述，中国人民银行规定“除法律法规及中国人民银行另有规定外，银行业金融机构不得向境外提供境内个人金融信息”，对于此处的“提供”，中国人民银行上海分行专门指出“境内银行业金融机构向境外总行、母行或分行、子行提供境内个人金融信息的，可不认为违规。”很明显，此处的“提供”包含了来自境外的数据访问请求。

其次是《网络预约出租汽车经营服务管理暂行办法》第27条的规定。《办法》要求网约车平台公司应在中国内地存储和使用个人信息和业务数据，且“除法律法规另有规定外，上述信息和数据不得外流”。该《办法》在《网络安全法（草案）》（二读）公布后才出台，而且沿袭使用了个人信息和业务数据。其“不得外流”的规定，很可能代表了《网络安全法（草案）》（二读）中“向境外提供”的含义。

（四）对第37条的基本评价

在对第37条的条文进行简要分析后，借用本文提出的“数据本地化存储合理界限理论”，可对该条得出如下评价：

一是受本地化存储规定覆盖的数据范围非常广，全球范围内来看属于特例。将《网络安全法》的一读和二读对比，第37条在原来的个人信息基础上，增加了重要业务数据。如前所述，关键信息基础设施的范围已经很宽泛，而“个人信息和重要业务数据”的规定还有可能包括了关键信息基础设施的所有数据。相比其他国家和区域，欧盟没有要求所谓的“重要业务数据”的本地存储，而在要求所谓的“重要业务数据”本地存储的国家，基本也仅仅是对某一特定行业的数据做出规定。因此，二审稿增加了区区六个字，却很可能一下子使我国数据本地化方面的规定在国际层面显得十分“特立独行”。虽然《网络安全法》的正式版本中删除了“业务”两字，但似乎没有明显改善范围过大的情况。

二是默认的数据本地化存储严苛程度很高。第37条的字面意思，要求数据彻底的本地化存储。而且，第37条还要求法律、法规以下的规范性文件都从其规定。就此，原本允许境外处理、访问的卫计委《人口健康信息管理办法（试行）》，允许境外存储数据镜像的《网络出版服务管理规定》和《保险公司开业验收指引》都要“升级”执行彻底的本地化存储规定。

三是从适当性和必要性的要求出发，仅仅出于保障“运营安全”目的似乎难以为如此广泛、严苛的本地化要求提供足够的正当性。第37条位于“第三章网络运行安全”中的“第二节关键信息基础设施的运行安全”之中，因此可以认为第37条的价值在于保障“运营安全”。而“运营安全”基本可以认为处于保障数据安全这个层面，无法涵盖个人数据保护的要求，如实现个人信息自决的权利，也无法涵盖国家层面的数据保护要求，如敌对国家情报机关合法、秘密地获取数据后，分析、挖掘后并不直接用于破坏关键信息基础设施，而是用于其他领域。而且如前文论证的，仅仅是数据安全，本质上并不取决于数据存储的地点；相反，个人和国家层面的数据保护才真正有数据本地化存储的必要性。

四是局限于“运营安全”将限制后续数据跨境传输安全评估的范围。如果“运营安全”是安全评估的全部目的，则安全评估无法囊括另外两个层面的目的，将严重地限制安全评估的效用。因此，若为了给第37条规定的数据本地化提供足够的正当性以及去除对安全评估不必要的束缚，该条文似乎应当从“第三章网络运行安全”中移出，转而放置于“第四章网络信息安全”中。

七、结语——对数据跨境流动安全评估的立法建议

按网安法第37条的规定，国家网信部门将会同国务院有关部门制定的数据向境外提供的安全评估办法。在最后一部分，本文将根据前文提出的“数据本地化存储合理界限理论”，提出数据跨境流动安全评估办法的设计方案。具体如下图所示

首先是评估流程。最开始，由有跨境数据传输需求的组织机构按照“数据本地化存储合理界限理论”进行自评估并提出配套保障措施（“步骤1”），并将评估结果和配套保障措施提交给主管部门（“步骤2”）。其次，主管部门按照“数据本地化存储合理界限理论”对评估报告和配套保障措施的审核，并做出自己的判断（“步骤3”），最后要求组织机构按照主管部门的要求形成数据跨境传输的具体安排（“步骤4”）。

其次是对评估的实质内容。如果评估显示数据仅仅涉及数据安全，此时公权力采取“轻监管”模式，设定各私主体的权利义务，并事先列出跨境原则和“门槛”，在满足上述条件后，就可放行。如评估显示数据涉及个人数据保护，公权力同样通过事先各私主体的权利义务和跨境的原则的方式，达到监管目的，只不过为保障个人信息自决权利，门槛相对数据安全要更高。如果评估显示数据涉及国家安全，则公权力开展“强监管”，一事一议，直接介入具体场景，参与设计特定的数据跨境保障措施，或者在风险无法管控的情况下要求数据必须存储于本地。

综上，围绕本文提出的“数据本地化存储合理界限理论”构建数据跨境传输安全评估办法的最大好处在于，能将比例原则的精神贯穿于数据跨境的监管过程之中，在安全和发展之间取得平衡。（本系列文章完）

第39条规定：“国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估……”

中国网信网：“全国范围关键信息基础设施网络安全检查工作启动”，2016年07月08日，

同上。

按照人大法工委的修改说明，增加“重要业务数据”的原因是“有的地方、部门和社会公众提出，关键信息基础设施运营者的重要业务数据也应存储在境内”。见

注：本文全文约26000字，发表于《信息安全与通讯保密》2017年第2期。